A proteção do ambiente de nuvem pública é uma responsabilidade compartilhada. Os clientes da nuvem devem usar benchmarks para garantir a segurança da nuvem.
O Center for Internet Security fornece padrões de configuração baseados em consenso e independentes do fornecedor para a nuvem. Conhecidas como CIS Foundations Benchmarks, essas práticas recomendadas foram desenvolvidas para ajudar as organizações a proteger os ambientes de nuvem pública.
Gartner e WSJ relataram recentemente que o erro humano é responsável por até 95% das violações na nuvem. Esses erros variam de problemas básicos de configuração e acesso não autorizado até as principais falhas de projeto. Veja mais aqui.
Líderes de segurança e equipes de engenharia em nuvem podem usar os benchmarks CIS para segurança em nuvem de duas maneiras. Em primeiro lugar, fazer referência a padrões independentes de controles de segurança de práticas recomendadas e definições de configuração pode ajudar na definição de requisitos internos para implantações de nuvem seguras. Isso é fundamental ao definir e ratificar políticas e padrões que todas as unidades de negócios e equipes de operações de TI devem aderir em suas próprias contas e assinaturas na nuvem. Em segundo lugar, os benchmarks podem ajudar as organizações a desenvolver um monitoramento contínuo e estratégia de relatórios para plano de controle de nuvem e conformidade de ativos.
Como a implementação de benchmarks melhora a segurança em nuvem
Os clientes da nuvem pública podem experimentar benefícios imediatos e duradouros com a implementação de benchmarks CIS para segurança na nuvem. Os ganhos de curto prazo incluem uma postura de segurança aprimorada e uma quantidade reduzida de vulnerabilidades em categorias de ativos de nuvem comuns, como VMs e outras cargas de trabalho. A implementação da estrutura também pode reduzir a superfície de ataque imediato ligada a serviços de plano de controle de nuvem expostos e potencialmente configurados incorretamente.
Os benefícios de longo prazo incluem uma postura geral de segurança aprimorada dentro do ambiente de nuvem de uma organização, bem como monitoramento e relatórios de configuração aprimorados. Isso permite o desenvolvimento de métricas mais precisas e relatórios sobre vulnerabilidades, impulsionando, assim, melhorias na segurança e na eficiência operacional.
Muitos questionam se a estrutura de segurança da nuvem deve ser considerada um objetivo final avançado ou mais como um ponto de partida de segurança. De muitas maneiras, a resposta é as duas coisas. Os benchmarks do CIS são criados com duas camadas de recomendações. As recomendações de nível 1 têm como objetivo fornecer benefícios de segurança imediatos. Eles são relativamente práticos, simples de implementar e raramente inibem ou interrompem o serviço em nuvem ou a funcionalidade de ativos de alguma forma. Os itens de referência de nível 1 devem ser o ponto de partida para todas as organizações e são amplamente considerados as melhores práticas de linha de base que podem ser ativadas de forma rápida e fácil por quase qualquer pessoa.
Os itens de nível 2, no entanto, fornecem recursos de segurança mais fortes e uma postura de defesa profunda em camadas. Os controles de segurança da nuvem CIS neste nível podem fazer com que alguns serviços ou ativos funcionem mal ou até mesmo falhar em alguns cenários. As organizações sujeitas a requisitos de segurança rigorosos podem considerar os itens de referência do CIS de Nível 2 como objetivos de curto prazo, mas a maioria os perseguirá como parte de uma estratégia de longo prazo.
Escopo das bases CIS para nuvem pública
Atualmente, os benchmarks do CIS estão disponíveis para download para cada um dos seguintes ambientes de nuvem pública:
- Alibaba Cloud
- AWS
- Google Cloud Platform
- Google Workspace
- IBM Cloud
- Microsoft Azure
- Oracle Cloud Infrastructure
Embora os benchmarks do CIS para uma determinada plataforma possam variar daqueles de outras plataformas, há notáveis semelhanças. Todos os benchmarks do CIS para a nuvem pública têm categorias de controle sugeridas semelhantes, variando de segurança de carga de trabalho VM a configurações de armazenamento e segurança de dados para controle de acesso privilegiado.
Recomendações de controle de segurança de nuvem CIS
Entre as recomendações mais universais e acionáveis do CIS, estão as seguintes:
- Crie cargas de trabalho em nuvem seguras que sigam as práticas recomendadas do setor e os padrões de proteção. Armazene e monitore essas novas imagens;
- Habilite o registro de plano de controle de nuvem por meio de ferramentas como AWS CloudTrail ou o pacote de operações do Google Cloud (antigo Stackdriver) para fornecer visibilidade em todas as chamadas de API feitas em uma conta de serviço em nuvem. Além disso, o monitoramento e alertas nativos da nuvem devem ser configurados e habilitados;
- Habilite autenticação forte para qualquer interface de administração de nuvem, incluindo o portal da web ou linha de comando. Implemente políticas de identidade de privilégios mínimos para diferentes funções de operações em nuvem;
- Ative a criptografia e outras medidas de proteção de dados para serviços de armazenamento em nuvem;
- Controles de acesso à rede nativos da nuvem seguros para minimizar o acesso e permitir que os dados de fluxo da rede monitorem o comportamento da rede.
Conclusão
Grandes ambientes de serviço em nuvem estão evoluindo em um ritmo cada vez mais rápido. Embora os CIS Foundations Benchmarks cubram os principais fundamentos dos controles e configuração de segurança em nuvem, atualizações mais frequentes das diretrizes consensuais ajudariam a atender melhor às organizações, fornecendo as orientações mais atuais.
Além disso, alinhar os benchmarks com modelos e estruturas de ataque do setor, como Mitre ATT&CK para nuvem, ajuda a educar as partes interessadas sobre quais controles podem protegê-los em cenários de ataque em nuvem do mundo real.